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@ Anordnung zum Schutz eines Sicherheitsmoduls 

® Anordnung zum Schutz eines Sicherheitsmoduls, der 
mindestens einen Arbeitsspeicher (121), eine Spannungs- 
uberwachungseinheit (12), eine Ungestecktsein-Detekti- 
onseinheit (13) und einen speziellen Schaltkreis (160) auf- 
weist, der uber einen BUS mit dem Arbeitsspeicher (121) 
in kommunikativer Verbindung steht, wobei der speziel- 
len Schaltkreis (160) mit einem I/O Interface zur Herstel- 
lung einer Kommunikationsverbindung mit dem Gerat 
ausgestattet ist, welches wan rend des Betriebes eine Sy- 
stemspannung fur den Sicherheitsmodul bereitstel It, wo- 
bei letzterer von einer Langzeit-Batterie (134) aufterhalb 
seines Betriebes gespeist wird, wobei die vorgenannten 
Baugruppen ohne die Langzeit-Batterie (134) in einer Ver- 
gussmasse (105) eingeschlossen sind, in welche eine 
Membrane (153) mit einer ersten Leiterschleife eingebet- 
tet ist, dadurch gekennzeichnet, dass eine Losch-Hard- 
ware mit dem Arbeitsspeicher (121) verbunden ist, wel- 
che ausgestattet ist, sicherheitsrelevante Daten im Ar- 
beitsspeicher (121) zu loschen und eine Datenabfrage 
uber den Bus zu unterbinden, wenn ein Loschsignal an- 
liegt, daft die Membrane (153) eine zweite Leiterschleife 
(152) aufweist und dass die erste und zweite Leiterschleife 
(151, 152) unterschiedliche Potentiale fuhren und auf der 
Membrane (153) eng benachbart angeordnet sind, dass 
eine Zerstorungs-Detektionseinheit (15) eingangsseitig 
mit der ersten und zweiten Leiterschleife (151, 152) ge- 
koppelt und ausgangsseitig mit einem Ausgang der 
Spannungsuberwachungseinheit (12) uber eine logische 
' ODER-Schaltung verknupft ist, um auf einer gemeinsa- 
) men Steuerleitung (CL) das Loschsignal fur die Losch- 
Hardware bereitzustellen, wenn die Zerstorungs-Detekti- 
onseinheit (15) aufgrund mindestens eines veranderten 
Potentials in einer der Leiterschleifen (151, 152) anspricht 
oder die Batteriespannung der Langzeit-Batterie (134) un- 
ter einen vorbestimmten Grenzwert absinkt. 
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Anordnung zum Schutz eines Sicherheitsmoduls 



Beschreibunq 

Die Erfindung betrifft eine Anordnung zum Schutz eines Sicherheits- 
moduls, gemaB der im Oberbegriff des Anspruchs 1 angegebenen Art. Ein 
solches Sicherheitsmodul arbeitet in einer potentiell unfreundlichen 
Umgebung in Geldautomaten, Fahrkartenautomaten, Registrierkassen, 
elektronischen Geldborsen, Computern fur den personlichen Gebrauch 
(Palmtops, Notebooks, Organizers), Handys und Geraten, die mehrere 
dieser Funktionalitaten kombinieren. Das Sicherheitsmodul kann in Form 
eines postalischen Sicherheitsmoduls realisiert werden, welches ins- 
besondere fur den Einsatz in einer Frankiermaschine bzw. Post- 
bearbeitungsmaschine oder Computer mit Postbearbeitungsfunktion (PC- 
Frankierer) geeignet ist. 

Es sind bereits vielfaltige SicherungsmaSnahmen zum Schutz gegen Aus- 
falle bzw. Storungen von intelligenten elektronischen Systemen bekannt. 
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Es ist bereits aus EP 417 447 B1 bekannt, in elektronischen Datenver- 
arbeitungsanlagen besondere Module einzusetzen und mit Mitteln zum 
Schutz vor einem Einbruch in ihre Elektronik auszustatten. Solche Module 
zahlen zu den Sicherheitsmodulen. 

Moderne Frankiermaschinen, oder andere Einrichtungen zum Frankieren 
von Postgut, sind mit einem Drucker zum Drucken des Postwertstempels 
auf das Postgut, mit einer Steuerung zum Steuern des Druckens und der 
peripheren Komponenten der Frankiermaschine, mit einer Abrechenein- 
heit zum Abrechnen von Postgebuhren, die in nichtfluchtigen Speichern 
gehalten werden, und einer Einheit zum kryptografischen Absichern der 
Postgebuhrendaten ausgestattet. Ein Sicherheitsmodul (EP 789 333 A2) 
kann eine Hardware-Abrecheneinheit und/oder die Einheit zum Absichern 
des Druckens der Postgebuhrendaten aufweisen. Beispielsweise kann 
ersterer als Anwenderschaltkreis ASIC und letzterer als OTP-Prozessor 
(One Time Programmable) realisiert werden. Ein Prozessor-interner Spei- 
cher speichert auslesesicher sensible Daten (kryptografische Schlussel), 
die beispielsweise zum Nachladen eines Guthabens erforderlich sind. 
Eine Kapselung durch ein Sicherheitsgehause bietet einen weiteren 
Schutz. 

Zum Schutz eines Sicherheitsmoduls vor einem Angriff, auf die in ihm 
gespeicherten Daten, wurden weitere MaRnahmen vorgeschlagen, in der 
DE 198 16 572 A1, mit dem Titel: Anordnung fur ein Sicherheitsmodul und 
DE 198 16 571 A1, mit dem Titel: Anordnung Kir den Zugriffsschutz fur 
Sicherheitsmodule, im EP 1 035 516 A2, mit dem Titel: Anordnung fur ein 
Sicherheitsmodul, im EP 1 035 517 A2 und EP 1 035 518 A2, beide mit 
dem Titel: Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung 
zur Durchfuhrung des Verfahrens, im EP 1 035 513 A2, mit dem Titel: 
Sicherheitsmodul mit Statussignalisierung, sowie im deutschen 
Gebrauchsmuster DE 200 20 635 U1, mit dem Titel: Anordnung zur 
Stromversorgung fur einen Sicherheitsbereich eines Gerates. 
Zum Schutz eines Sicherheitsmoduls wurde im EP 1 035 518 A2 eine 
Ungestecktsein-Detektionseinheit vorgeschlagen, mit der einerseits ein 
Gestecktsein des Sicherheitsmoduls an ein Interface der Hauptplatine des 
Gerates und andererseits ein mechanischer oder chemischer Angriff auf 
das Sicherheitsmodul oder dessen BeschSdigung detektiert werden kann. 
Dabei wird ein Schaltungszustand der Detektionseinheit geandert, wobei 
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dessen Aufrechterhaltung durch den speziellen batteriegetriebenen Schal- 
tungsaufbau gewahrleistet ist. Eine Leitung, welche als Schleife um die 
ubrigen Funktionseinheiten des Sicherheitsmoduls gelegt ist, gestattet 
dabei die Detektion einer mechanischen oder chemischen Beschadigung 
5 des Sicherheitsmoduls, wenn dabei eine Unterbrechung der Leitung ein- 
tritt. Auch beim Austausch des Sicherheitsmoduls wird diese Massever- 
bindung unterbrochen und die abfragbare Hardware der Ungestecktsein- 
Detektionseinheit registriert diesen Vorgang als Ereignis. Vom Prozessor 
kann der Zustand der Ungestecktsein-Detektionseinheit abgefragt werden. 

10 Die regelma&ige Auswertung eines von der Ungestecktsein-Detektions- 
einheit gelieferten Trennungs- bzw. Ungestecktsein-Signals ermoglicht es 
dem Prozessor sensitive Daten zu loschen, beispielsweise beim Entfernen 
des Sicherheitsmoduls aus dem Gerat. Dabei werden beispielsweise 
kryptographische Schlussel geloscht, ohne damit die Abrechnungs- und 

is Kundendaten in den ubrigen nichtfluchtigen Speichern zu verandern. Der 
Prozessor kann die Ungestecktsein-Detektionseinheit nach dem Stecken 
des Sicherheitsmodul wieder zurucksetzen. Ober die Leitungsschleife wird 
Massepotential abgefragt, welches am AnschluB des Interfaces anliegt 
und nur abfragbar ist, wenn der Sicherheitsmodul ordnungsgemaR 

20 gesteckt ist. Jedoch ist eine Uberbruckung der Leitungsschleife mit 
Massepotential nicht vollig unmGglich. Die Kenntnis der Leitungsfuhrung 
ist nur durch die Einbettung in eine Vergu&masse erschwert 
Das Sicherheitsmodul ist zum Beispiel auf die Hauptplatine des Meters 
der Frankiermaschine JetMail® gesteckt. Das Metergehause ist vorzugs- 

25 weise als Sicherheitsgehause ausgebildet ist, aber dennoch vorteilhaft so 
konstruiert, daB der Benutzer die Statusanzeige des Sicherheitsmoduls 
von auSen durch eine Offnung sehen kann. Das Anlegen der System- 
spannung an den Modulprozessor des Sicherheitsmoduls ist ausreichend, 
die Anzeige zu aktivieren, um den Modulzustand ablesen zu konnen. Es 

30 kann unterschieden werden, ob das Sicherheitsmodul betriebsbereit oder 
defekt ist. Selbst wenn das Sicherheitsmodul funktioniert, kann signalisiert 
werden, wenn ein Service-Techniker zu rufen ist oder ein Restart des 
Systems durchgefuhrt wird. Ein Sicherheitsmodul kann in seinem Lebens- 
zyklus verschiedene Zustande einnehmen, die aber nur im Betriebs- 

35 zustand des Meters angezeigt werden, d.h. wenn Systemspannung am 
Sicherheitsmodul anliegt. Anderenfalls wurde die Batterie des Sicherheits- 
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moduls schnell erschopft sein. Die Lebensdauer der Batterie soli dem 
Lebenszyklus angemessen und moglichst hoch sein. Bei ausgeschalteter 
Frankiermaschine, Stromunterbrechungen Oder Systemspannungsausfall 
mOssen Postregisterdaten, kryptografische Schlussel und andere sensible 
5 Daten erhalten bleiben und auch die Echtzeituhr muB weiterlaufen. Hinzu 
kommen Schaltungselemente fur permanente Uberwachungsfunktionen, 
die ohne Unterbrechung weiterlaufen mussen. Hierdurch steigt der Bedarf 
an verfugbarem Batteriestrom mit der Folge, daB die Lebensdauer der 
Batterie sinkt. 

10 Auf dem Sicherheitsmodul wurde deshalb gemaB EP 1 035 516 A2 eine 
auswechselbare Batterie angeordnet. Letztere kann nur dann ausgewech- 
selt werden, wenn Systemspannung anliegt. Eine vom Prozessor abfrag- 
bare Spannungsuberwachungseinheit mit rucksetzbarer Selbsthaltung 
detektiert einen Spannungsausfall oder ein Absinken der Batteriespan- 

15 nung unter eine vorbestimmte Schwelle. Die Spannungsuberwachungs- 
einheit hat jedoch einen nicht zu vernachlassigenden Strombedarf, was 
sich bei Batteriebetrieb entsprechend auswirkt. 

Unter dem Titel: Verfahren zur Ermittlung eines Erfordemis zum Aus- 
tausch eines Bauteils und Anordnung zur Durchfuhrung des Verfahrens, 

20 wurde in der nicht vorveroffentlichten deutschen Patentanmeldung Nr. 100 
61 665.8 bereits vorgeschlagen ein weniger stromintensives indirektes 
MeSverfahren zur Ermittlung der restlichen Batteriekapazitat einzusetzen. 
Auch kurzfristige Ausfalle der Batteriespannung von Bruchteilen einer Se- 
kunde fuhren zum sofortigen Blockieren des Sicherheitsmoduls und somit 

25 Unbrauchbarwerden der Frankierfunktion der Maschine. Zum Batterie- 
wechsel muSte bisher der postalisch gesicherte Teil der Frankiermaschine 
gedffnet werden. Deshalb wurde mit dem deutschen Gebrauchsmuster 
DE 200 20 635 U1 eine Anordnung zur Stromversorgung fur einen 
Sicherheitsbereich eines Gerates mittels einer externen Batterie zur 

30 Aufstockung der Batteriekapazitat der internen Batterie des Sicherheits- 
moduls vorgeschlagen. Die Losung mit zwei Batterien ist naturlich aufwen- 
diger und nur bei groBen Geraten geeignet. Im deutschen Gebrauchs- 
muster DE 200 20 635 U1 wurde schon vorgeschlagen, eine schnelle 
Loschung wichtiger kryptografischer SchlOssel im statischen Arbeits- 

35 speicher vorzunehmen, wenn die Batteriespannung unter einen Grenzwert 
fallt. Der Stromverbrauch ist jedoch weiterhin hoch. Die Anzahl der zu 
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versorgenden Baugruppen bzw. Bauelemente wurde sogar noch erhoht. 
Das ist fur Gerate mit zweiter externer Batterie eher tragbar, zumal dann 
die Batteriekapazitat aufgestockt ist, aus der die einzelnen Baugruppen 
gespeist werden. Auch der Arbeitsspeicher mit den sensitiven Daten ist 
5 nicht mehr im Prozessorschaltkreis integriert, sondern im Sicherheits- 
modul als separates Bauelement angeordnet Wenn die BeschSdigung 
eines Bereiches des Sicherheitsmoduls sehr schnell erfolgt, welcher 
zufallig den Prozessor enthalt, ist es moglich dass ein Teil der sensitiven 
Daten nicht mehr geloscht wird. Nur wenn die sensitiven Daten alle 
10 geloscht sind, ist deren Geheimhaltung gegeben bzw. ein Fehler aufgrund 
einer unsachgema&en Handhabung des postalischen Sicherheitsmoduls 
ausgeschlossen. 

Laut der in EP 1 035 517 A2 vorgeschlagenen Losung arbeiten eine 
Spannungsuberwachungseinheit und eine Ungestecktsein-Detektions- 

15 einheit bereits zusammen, jedoch wird die Loschung von sicherheits- 
relevanten Daten des einen im Mikroprozessor angeordneten Arbeits- 
speichers ausgelost, der direkt an einem prozessorinternen Bus ange- 
schlossen ist. Damit treffen die o.g. Nachteile bezuglich Sicherheit der 
Loschung und Batteriestromvebrauch ebenfalls zu. AuBerdem soil der 

20 Zustand des Ungestecktseins keine Loschung von Daten mehr auslosen. 




Der Erfindung liegt die Aufgabe zugrunde, mit geringem Aufwand den 
Schutz eines Sicherheitsmoduls zu gewahrleisten und dabei die Nachteile 
des Standes der Technik zu uberwinden. 

25 

Die Aufgabe wird mit den Merkmalen der Anordnung nach Anspruch 1 
gelbst. 

Das Sicherheitsmodul ist austauschbar in einem Gerat angeordnet, wobei 
30 letzteres entsprechend den Einsatzfallen auswahlbar ist. Das Sicherheits- 
modul weist mindestens einen Arbeitsspeicher, eine Spannungsuber- 
wachungseinheit, eine Ungestecktsein-Detektionseinheit und einen spezi- 
ellen Schaltkreis auf, der uber einen BUS mit dem Arbeitsspeicher in 
kommunikativer Verbindung steht. Der speziellen Schaltkreis enthalt ein 
35 I/O Interface zur Herstellung einer Kommunikationsverbindung mit dem 
Gerat, welches wahrend des Betriebes eine Systemspannung fur das 
Sicherheitsmodul bereitstellt. Letzterer wird von einer Langzeit-Batterie 
auBerhalb seines Betriebes gespeist. Die vorgenannten Baugruppen ohne 
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die Langzeit-Batterie sind in einer Vergussmasse eingeschlossen. In 
letztere ist ein Membrane eingebettet, mit einer ersten und zweiten Leiter- 
schleife, die jeweils unterschiedliche Potentiale fuhren und auf der Mem- 
brane eng benachbart angeordnet sind. Eine mit dem Arbeitsspeicher 
verbundene Losch-Hardware ist entsprechend ausgestattet, sicherheits- 
relevante Daten (Secure Relevant Data Items) im SRDI-Arbeitsspeicher 
zu Idschen und eine Datenabfrage uber den Bus zu unterbinden, wenn ein 
Loschsignal anliegt. Eine Zerstdrungs-Detektionseinheit ist eingangsseitig 
mit der ersten und zweiten Leiterschleife gekoppelt und ausgangsseitig 
mit einem Ausgang der Spannungsiiberwachungseinheit uber eine logi- 
sche ODER-Schaltung verknupft, urn auf einer gemeinsamen Steuer- 
leitung das Loschsignal fur die Ldsch-Hardware bereitzustellen, wenn die 
Zerstdrungs-Detektionseinheit aufgrund mindestens eines veranderten 
Potentials in einer der Leiterschleifen anspricht Oder die Batteriespannung 
unter einen vorbestimmten Grenzwert absinkt. 

Die Erfindung geht weiterhin davon aus, dass mittels einem schnellen 
Mikroprozessor und weiteren teilweise bekannten Funktionseinheiten ein 
Sicherheitsmodul geschaffen wird, das alien Anforderungen gentigt. Das 
Sicherheitsmodul umfaSt: einen Mikroprozessor, eine Echtzeituhr (RTC), 
einen Programmspeicher, einen Arbeitsspeicher, zwei nichtfluchtige Spei- 
cher fur Buchungsdaten, einen SRDI-Arbeitsspeicher (Secure Relevant 
Data Items) mit Losch-Hardware, eine Langzeit-Batterie (long life time), 
eine Leistungsverwaltungs- & Oberwachungseinheit (Power Manager), 
Ereignisdetektoren (Event Detectors) sowie einen speziellen Schaltkreis, 
zum Beispiel FPGA, der mindestens dazu ausgestattet ist, mit einem I/O 
Interface eine Kommunikationsverbindung mit dem Gerat herzustellen. 
Die Leistungsverwaltungs-& Oberwachungseinheit (Power Manager) ist 
ausgerustet, mindestens mit einer Spannungsiiberwachungseinheit, mit 
Schnittstellen zur ZufOhrung der Systemspannung (Main Power Supply 
Interface) und zur Batteriespannungszuftihrung (Host Battery Interface). 
Einer der Ereignisdetektoren (Event Detectors) ist die vorgenannte 
Zerstdrungs-Detektionseinheit, die mit der in der Vergussmasse eingebet- 
ten Membrane verbunden ist. Ein weiterer Ereignisdetektor ist eine an sich 
bekannte Ungestecktsein-Detektionseinheit. Die Ereignisdetektoren und 
die Leistungsverwaltungs-& Oberwachungseinheit sind durch den Mikro- 
prozessor abfragbar ausgebildet. Die Spannungsiiberwachungseinheit 
oder ein Ereignisdetektor, vorzugsweise die Zerstdrungs-Detektionsein- 
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heit, konnen uber die gemeinsame Steuerleitung einen elektronischen 
Umschalter veranlassen, dass wahlweise Betriebsspannung oder Losch- 
spannung ggf. Massepotential an den SRDI-Arbeitsspeicher angelegt 
wird. Eine Bus-Treibereinheit wird ebenfalls uber die gemeinsame 
Steuerleitung angesteuert, um den BUS vom SRDI-Arbeitsspeicher zu 
entkoppeln, wenn Loschspannung bzw. Massepotential an den SRDI- 
Arbeitsspeicher angelegt wird. Bei Beschadigung des Sicherheitsmoduls 
und wenn die Batteriespannung die Versorgung des Sicherheitsmoduls 
nicht mehr sicher ermoglicht, konnen sensitive Daten sehr schnell und 
sicher geldscht werden. 

Der schnelle Prozessor ermdglicht symmetrische und/oder asymme- 
trische Verschlusselungsverfahren fur unterschiedlichen Einsatzfalle. 
Entsprechend dem jeweiligem Einsatzfall wird eine Echtzeitverarbeitung 
von Ereignissen sowie eine Aufzeichnung bzw. Buchung ermoglicht. Eine 
Batterie des Sicherheitsmoduls ubernimmt die Spannungsversorgung fur 
die Echtzeituhr und fUr Bauelemente zur nichtfluchtigen Speicherung der 
Nutzdaten, zur permanenten Oberwachung aller sicherheitsrelevanten 
Funktionen sowie der Betriebsbereitschaft des Sicherheitsmoduls bei 
ausgeschalteter Systemspannung des Gerates. Im Fehlerfall und bei 
Entfernung des Sicherheitsmoduls wird eine Zustandsanderung abfragbar 
gespeichert. Der Status des Sicherheitsmoduls ist auch nach dem 
Loschen vom Gerat abfragbar. Zur Signalisierung des Zustandes kann 
eine vorhandene Anzeigeeinheit des Gerates oder ein Signali- 
sierungsmittel des Sicherheitsmoduls mitbenutzt werden. 

Vorteilhafte Weiterbildungen der Erfindung sind in den UnteransprQchen 
gekennzeichnet bzw. werden nachstehend zusammen mit der 
Beschreibung der bevorzugten Ausfuhrung der Erfindung anhand der 
Figuren nSher dargestellt. Es zeigen: 

Figur 1, Blockschaltbild des Sicherheitsmoduls, 

Figur 2, Detail der bekannten Spannungsuberwachungsschaltung, 

Figur 3 t Schaltung der Losch-Hardware fur einen SRDI-Arbeitsspeicher, 

Figur 4, Darstellung einer Sensor-Membrane, 

Figur 5a und 5b, Schaltungen der Ereignisdetektoren. 
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Die Figur 1 zeigt ein Blockschaltbild des Sicherheitsmoduls, umfassend 
die Baugruppen: 

einen Mikroprozessor 120 mit einer Echtzeituhr RTC, 

- einen Programmspeicher ROM 128, zum Beispiel ein Flash 51 2K x32, 
einen Arbeitsspeicher SRAM 121 , zum Beispiel ein SRAM 64K x32, 

- zwei nichtfluchtige Speicher NVRAM I & NVRAM II mit je 4 Kbyte, 
einen Arbeitsspeicher SRDI-RAM 122 (Secure Relevant Data Items) 
mit Losch-Hardware und BUS-Treibereinheit 127, 

eine Langzeit-Batterie 134, zum Beispiel eine Lithium-Batterie, 
eine Leistungsverwaltungs-& Uberwachungseinheit (Power Manager) 
11 mit SpannungsOberwachungseinheit 12, mit Schnittstellen zur 
Zuftihrung der Systemspannung (Main Power Supply Interface) und 
zur Batteriespannungszufuhrung (Host Battery Interface), 
Ereignisdetektoren(Event Detectors), einschlieSlich einer Zerstorungs- 
Detektionseinheit 15, die mit einer in einer Vergussmasse 105 
eingebetten Membrane 153 verbunden ist, und einer Ungestecktsein- 
Detektionseinheit 13, 

einen speziellen Schaltkreis, zum Beispiel FPGA, 160 mit einem I/O 
Interface zur Herstellung einer Kommunikationsverbindung mit dem 
Gerat. 

Das Gerat, an welchem das Sicherheitsmodul angeschlossen ist, liefert 
eine Systemspannung und optional eine zweite Batteriespannung. Das 
Sicherheitsmodul wird bei eingeschaltetem Gerat mit Systemspannung 
betrieben. Die Leistungsverwaltungseinheit (Power Manager) 11 hat eine 
Vielzahl an Funktionseinheiten, die die Betriebsfahigkeit bei geringem 
Leistungsverbrauch des Sicherheitsmoduls auch bei abgeschaltetem Ge- 
rat sichern. Die Leistungsverwaltungseinheit 11 weist einen Gleichstrom/ 
Gleichstrom-Wandler (nicht gezeigt) und einen Spannungsregler (nicht 
gezeigt) fur die entsprechenden Betriebsspannungen (3V, 5V und 8V), 
eine Temperatur- und Spannungsuberwachungsschaltung (nicht gezeigt) 
auf. Die letzteren beiden konnen ein Reset-Signal erzeugen. Die gelieferte 
Systemspannung wird auf Ober- bzw. Unterschreitung von Grenzwerten 
uberwacht. Innerhalb letzterer sorgt ein Gleichstrom/Gleichstrom-Wandler 




fur eine vorbestimmte Betriebsspannung U B . Eine Spannungsgenerierung 
sorgt fQr die Erzeugung aller notwendigen Spannungen, die die Funktions- 
einheiten des Sicherheitsmoduls benirtigen. Bei ausgeschalteten Gerat 
werden neben den Oberwachungsschaltungen und der Zerstorungs- 
Detektionseinheit nur die Echtzeituhr RTC und die Arbeitsspeicher mit 
Batteriespannung versorgt. Eine ununterbrochene Versorgung der batte- 
riebetriebenen Einheiten ist auch in DE 200 20 635 U1 mitgeteilt worden. 
Zu letzteren gehort mindestens einer der Post-Speicher, einige der 
Detektoren und der SRDI-Arbeitsspeicher 122. An das Sicherheitsmodul 
konnen zwei unabhangige Batterien angeschlossen werden. Die erste 
Batteriespannung stammt aus der internen Batterie 134, welch optional 
durch eine zweite separate Batterie gestutzt werden kann. 
Alternativ zur internen Echtzeituhr kann eine separate Echtzeituhr RTC 
124 angeschlossen werden. Der Mikroprozessor 120 ist beispielsweise 
vom Typ ARM7 und die separate Echtzeituhr vom Typ EPSON RTC-4543. 
Der Mikroprozessor 120 ist uber einen BUS mit dem Programmspeicher 
ROM 128, dem Arbeitsspeicher SRAM 121, dem Arbeitsspeicher SRDI- 
RAM 122 und dem speziellen Schaltkreis FPGA 160 verbunden. Der Bus 
ist mit breiten weiSen Pfeilen dargestellt. Der spezielle Schaltkreis FPGA 
160 ist ein anwerderspezifisch programmiertes FPGA (one time 
programmable). Der FPGA enthalt eine Hardware-Abrechnungseinheit 
(nicht gezeigt), eine Ansteuerschaltung fur zwei weitere Speicher NVRAM 
I und II sowie eine Ein/Ausgabe-Schnittstelle (digitate Interface des 
Sicherheitsmoduls nicht gezeigt) zum Gerat (nicht gezeigt). Der spezielle 
Schaltkreis FPGA 160 ist mit zwei nichtfluchtigen Speichern 114 (NVRAM 
I) & 116 (NVRAM II) verbunden, die unter anderem die postalisch 
relevanten Daten enthalten. Die beiden nichtfluchtigen Speicher NVRAM I 
und II sind physikalisch getrennt und in verschiedenen Technologien 
ausgefuhrt Sie sind vom Prozessor schreibend und lesend ansprechbar, 
vom FPGA modifizierbar und von auBerhalb des Sicherheitsmodules 
lesbar. Einer der nichtflQchtigen Speicher ist in einer gemischten 
EEPROM-SRAM-Technologie ausgefuhrt, der andere ist ein SRAM mit 
herkommlicher Technologie. 
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Die Zufuhrung der Systemspannung (Main Power Supply Interface) und 
der Batteriespannungen zur Schnittstelle ist mit breiten schwarzen Pfeilen 
gekennzeichnet worden. Dunne schwarze Pfeile gekennzeichnen die 
Versorgung von Baugruppen mit einer entsprechenden Betriebsspannung 
aus der Leistungsverwaltungs-und Oberwachungseinheit 1 1 bzw. aus der 
Oberwachungseinheit 12. Dunne wei&e Pfeile kennzeichnen Abfrage- und 
Steuerleitungen. 

Zur Losch-Hardware gehoren teilweise Mittel der LeistungsverwaItungs-& 
Oberwachungseinheit, eine Steuerleitung CL und eine Bus-Treibereinheit 
127. Die Steuerleitungen von der Zerstorungs-Detektionseinheit 15 und 
der Spannungsuberwachungseinheit 12 sind zu einer gemeinsamen 
Steuerleitung CL verschaltet, welche gestrichelt dargestellt ist. Die 
Einheiten 12 oder 15 steuern uber die gemeinsame Steuerleitung CL 
einen elektronischen Umschalter S an, welcher wahlweise Betriebsspan- 
nung U B oder Loschspannung U c bzw. Massepotential U M an den VCC- 
Pin des SRDI-Arbeitsspeicher 122 anlegt. Dieser SRDI-RAM-Speicher ist 
nicht direkt an dem Prozessorbus angeschlossen. Alle digitalen Signale 
werden uber Treiberschaltkreise der Bus-Treibereinheit 127 gefuhrt, die 
uber Ausgange verfugen, die hochohmig geschaltet werden konnen. 
Damit kann der BUS vom SRDI-Arbeitsspeicher 122 entkoppelt werden. 
Die Bus-Treibereinheit 127 wird ebenfalls von der gemeinsamen 
Steuerleitung CL angesteuert. 

Folgende Detektor- und Uberwachungsseinheiten Ciberwachen den 
sachgemaSen Betrieb des Sicherheitsmoduls: 

- SpannungsubenA/achungseinheit 12, die zur Batteriespannungs- 
Qberwachung mit Selbsthaltung ausgebildet ist, 

- Zerstorungsdetektionseinheit 15 zur Detektion gegen mechanische 
Zerstorung des Sicherheitsmoduls mit Selbsthaltung, 

- Ungestecktsein-Detektioneinheit 13 (Host-System-Loop) mit Selbst- 
haltung. 

- Temperatursensor und weitere 

- Spannungsuberwachungseinheiten zur Uberwachung aller Spannun- 
gen im System, insbesondere der Systemspannung. 
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Die beiden ersten fuhren bei Ansprechen (oder-Verknupfung) zum 
Loschen der Daten im SRDI-Speicher. 

Der dritte Detektor kann nur einen Zustandswechsel hervorrufen und vom 
Prozessor wahrend des Betriebes bzw. beim Systemstart vom Programm 
5 des Sicherheitsmoduls abgefragt werden. 

Der Temperatursensor uberwacht die Betriebstemperatur des Moduls und 
lost einen Reset aus, wenn die Temperatur unter oder uber einen 
vorherbestimmten Wert sinkt bzw. steigt. Auch damit wird ein 
unsachgemaBer Gebrauch verhindert und die Nutzerdaten gesichert. Ein 

10 Reset wird ebenfalls ausgelost, wenn die Eingangsspannung des Moduls 
zu klein oder zu groS wird oder wenn die interne Betriebsspannung unter 
einen bestimmten Pegel sinkt. Der Zustand aller anderen Spannungen 
konnen von der System software abgefragt werden. Das Sicherheitsmodul 
enthalt - nicht gezeigte - LED zur Statusausgabe und wird mit einer 

15 harten, undurchsichtigen VerguBmasse 105 vergossen, in welche eine 
Sensor-Membrane 153 eingebettet ist. Einer der Ereignisdetektoren, die 
Zerstorungs-Detektioneinheit 15, ist mit Leiterschleifen der Sensor- 
Membrane 153 verbunden. 

20 

Die Figur 2 zeigt ein Detail der aus dem EP 1 035 516 A2 bekannten 
Spannungsuberwachungsschaltung 12', die uber eine Leitung 138' mit 
einem statischen Arbeitsspeicher SRAM 122' verbunden ist. Die 
Spannungsuberwachungseinheit 12' enthalt einen elektronischen FET- 

25 Schalter 1252', der bei Bedarf Massepotential an den SRDI- 
Arbeitsspeicher 122' angelegt. Sinkt die Batteriespannung unter einen 
Grenzwert, dann steuert einer Operationsverstarker 1250' uber eine 
Steuerleitung 1251' den elektronischen FET-Schalter 1252' an und mit 
der Leitung 138' wird der Speisepunkt (VCC-PIN) fur das SRAM 122' vom 

30 elektronischen FET-Schalter 1252' der Uberwachungseinheit 12' mit 
Masse verbunden. Die Source-Schaltung weist einen Widerstand 1254' 
zwischen Drain des MOSFET 1252 und einer die Betriebsspannung U B 
fuhrenden Leitung auf. Das verursacht auch weiterhin einen nicht zu 
vernachlassigenden Strom verbrauch, solange sich die Schaltung noch im 
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Schaltungs-Zustand der Selbsthaltung befindet. Der Schaltungs-Zustand 
kann via Entkopplungsdiode 1262' und uber die Leitung 164' vom 
Prozessor abgefragt werden. 



In der Figur 3 ist eine Schaltung der Losch-Hardware fOr einen SRDI- 
Arbeitsspeicher 122 dargestellt. Fur den SRDI-Arbeitsspeicher 122 wird 
vorzugsweise ein Typ BS62LV256TI eingesetzt. Es genugt bei diesem 
Typ, wenn zum Loschen Massepotential U M an den VCC-Pin des SRDI- 
Arbeitsspeichers 122 angelegt wird. Weiterhin ist der VCC-Pin des SRDI- 
Arbeitsspeichers 122 ist an den elektronischen Umschalter S ange- 
schlossen. Letzterer ist beispielsweise in die SpannungsOberwachungs- 
einheit 12 integriert und weist einen Feld-Effekt-Transistor-Umschalter 
1252, 1253 auf. Der FET-Umschalter 1252, 1253 legt wahlweise Betriebs- 
spannung U B oder Massepotential U M an den VCC-Pin des SRDI- 
Arbeitsspeichers 122 an. Bei einem ausgeschaltetem Gerat wird auto- 
matisch von Systemspannung auf die Batteriespannung umgeschaltet. 
Die Betriebsspannung U B entspricht dann der Batteriespannung. Liegt die 
Batteriespannung uber einem Grenzwert, dann wird vom Transistor 1253 
(MOSFET, Verarmungstyp, p-Kanal) Betriebsspannung auf die Leitung 
138 durchgeschaltet und der Speisepunkt am VCC-Pin des SRDI- 
Arbeitsspeicher 122 ist mit Betriebsspannung verbunden. Der SRDI- 
Arbeitsspeicher 122 dient dann als batteriegestutzter nichtfluchtiger 
Speicher fur sicherheitsrelevante Daten. 

Sinkt die Batteriespannung unter einen Grenzwert, dann wird der 
Speisepunkt am VCC-Pin des SRAMs 122 via Leitung 138 von einem 
Transistor 1252 (MOSFET, Verarmungstyp, n-Kanal) der Oberwachungs- 
einheit 12 mit Masse verbunden. Durch die zusatzlich vorgenommene 
Abschaltung des Transistors 1253 wird der Strombedarf aus der Batterie 
134 (Fig.l)erheblich reduziert. 

Die BUS-Treibereinheit 127 der Losch-Hardware stellt den Weiterbetrieb 
der ubrigen Baugruppen sicher, die ebenfalls an den Bus gekoppelt sind. 
Der Bus besteht aus einem Adressen-BUS 111, einem Daten-BUS 126 
und einem Steuer-BUS 119. Die Ausgangsleitungen 158, 159 der 
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Zerstorungs-Detektionseinheit 15 kdnnen via wired-OR-Verbindung ver- 
bunden werden. Ein Negator N negiert das Signal. Alternativ liefert die 
Zerstorungs-Detektionseinheit 15 ein geeignetes Signal auf mindestens 
einer Ausgangsleitung, welche mit der Steuerleitung 1251 der Spannungs- 
5 uberwachungseinheit 12 mittels ODER-Glied zur gemeinsamen Steuer- 
leitung CL verschaltet sind. Das ODER-Glied kann auch als wired-OR- 
Verbindung 1255 in der Spannungsuberwachungseinheit 12 ausgebildet 
sein. Wenn also die Einheiten 12 oder 15 einen unsachgemaSen 
Gebrauch des Sicherheitsmoduls detektieren, so werden gleichzeitig die 

10 Treiberschaltkreise hochohmig geschaltet und der Transistor-Umschalter 
wird so angesteuert, daB der VCC-Pin des SRDI-Speichers auf 
Massepotential U M liegt. Der Vorteil dieser Anordnung ist, das der SRDI- 
Speicher vollstandig spannungsfrei ist und die Daten schnell zerstort 
werden, denn CMOS-Schaltungen sind ja bekannt dafur, daB sie sich 

is auch Ober ihre digitalen Eingange sebst versorgen kdnnen. Zweitens wird 
der SRDI-Speicher uber die Treiber so vom Prozessorbus getrennt, daB 
letztere in seiner Tatigkeit nicht beeinflusst wird und weiter arbeiten kann. 
Die Detektion und die Reaktion darauf funktioniert sowohl beim Betrieb 
mit Systemspannung als auch mit Batteriespannung. 

20 Mindestens eine Leiterschleife umhullt die Baugruppen bzw. Funktions- 
einheiten des Sicherheitsmoduls, welche zusatzlich mit einer VerguB- 
masse vergossen sind, was prinzipiell im EP 1 035 518 A2 bereits darge- 
stellt ist. Jedoch bei Bekanntheit der genauen Leitungsfuhrung wird eine 
Oberbruckung einer Leiterschleife moglich. Die Kenntnis der Leitungsfuhr- 

25 ung ist dort nur durch die VerguBmasse erschwert. In Erganzung dazu ist 
vorgesehen, dass nicht mehr nur MasseschluB, sondern zusatzlich eine 
VerSnderung mindestens eines weiteren Potentials ausgewertet wird. An 
die Zerstorungs-Detektionseinheit 15 sind vorzugsweise zwei Leitungs- 
schleifen 151 und 152 angeschlossen, welche nebeneinander isoliert auf 

30 einer Sensor-Membran 153 liegen. Die Leitungsschleifen 151, 152 fuhren 
unterschiedliche Spannungspotentiale. Bei einer geeigneten Leitungsfuhr- 
ung sind die unterschiedlichen Spannungspotentiale eng benachbart. Da- 
mit wird eine absichtliche Oberbruckung einer Leiterschleife wenigstens 
erschwert. Jede grobe Zerstorung der VerguBmasse fuhrt zu einer Zer- 
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storung der Leitungsschleifen 151 und 152 oder wenigstens zu einer de- 
tektierbaren Potentialveranderung. Eine Oberbruckung der Leitungsschlei- 
fen 151, 152 wird durch eine spezielle Leitungsfuhrung noch weiter 
erschwert. 

5 

Die Figur 4 zeigt eine Darstellung einer Sensor-Membrane am Beispiel 
einer einfachen Ausfuhrungsform. Naturlich konnen andere kompliziertere 
Ausfuhrungsformen gewahlt werden. Wichtig ist nur, dass auf engem 
Raum eine solche Leitungsfuhrung gewahlt wird, dass unterschiedliche 
10 Potentiale eng benachbart sind, so dass eine Oberbruckung von Leitungs- 
abschnitten unmoglich gemacht wird, ohne die Potentiale zu verandern. 

Die Figuren 5a und 5b zeigen Schaltungen fur eine Zerstorungs- 
Detektion. Die in der Figur 5a gezeigte Detektionsschaltung 15a weist 

15 einen Spannungsteiler zwischen einer Batteriespannung fuhrenden 
Leitung 156 und Massepotential auf, wobei der Widerstand der 
Leitungsschleife 151 zwischen die Leitung 156 und einem Abzweig 1546 
des Spannungsteilers geschaltet ist. Zwischen den Abzweig 1546 des 
Spannungsteilers und Massepotential ist eine Parallelschaltung von 

20 Widerstand 1544 und Kondensator 1572 geschaltet. Die Detektions- 
schaltung 15a dient der Leitungsschleifen-Oberwachung und reagiert auf 
eine Absenkung des Spannungspotentials am Abzweig 1546 unter einen 
ersten Referenzspannungswert. Eine solche Absenkung ist durch 
Verringerung der Isolation gegenuber dem Massepotential in der Leitungs- 

25 schleife 151 nahe dem Abzweig 1546 Oder durch schleichende 
Hochohmigkeit, infolge einer fortschreitenden Veringerung des Leitungs- 
querschnitts bis zur Unterbrechung der Leitungsschleife 151 verursacht. 
Die Schaltung ist im Prinzip ahnlich der Schaltung der bereits aus dem EP 
1 035 516 A2 bekannten Spannungsuberwachungseinheit 12' aufgebaut, 

30 welche ebenda ausfQhrlicher beschrieben ist. 

Die Batteriespannung auf der Leitung 156 wird am Abzweig 1546 des 
Spannungsteilers entsprechend verringert abgegeben und von einem 
Komparator 1550 mit der Referenzspannung der Referenzspannungs- 
quelle 1548 verglichen. Ist die zu vergleichende Spannung auf dem Ab- 
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zweig 1546 kleiner als die Referenzspannung, so erhalt ein Feld-Effekt- 
Transistor 1552 an seinem Steuereingang H-Pegel und wird durchge- 
schaltet. Dadurch wird die Ausgangsleitung 158 mit Massepotential ver- 
bunden und der SRDI-RAM 122 wird nicht mehr mit der Batteriespannung 

5 versorgt. Das fOhrt zur Loschung der Daten im SRDI-RAM 122. 

Da die Leitung 158 jetzt Massepotential fuhrt, wird gleichzeitig uber die 
Diode 1 556 und den Widerstand 1 558 die zu vergleichende Spannung am 
Abgriff 1546 auf einen Wert nahe 0 V gezogen. Dadurch wechselt die 
Uberwachungsschaltung 15a in einen Selbsthaltezustand, in dem sie auch 

10 bei Erhohung der Spannung am Abgriff 1546 verharrt und die Leitung 158 
auf Massepotential la&t. Durch diesen Zustand der Detektionsschaltung 
15a wird uber eine Entkopplungsdiode 1562 ein L-Signal auf die Leitung 
157 gelegt, welche vom Prozessor 120 abgefragt werden kann. Die 
Entkopplungsdiode 1562 dient der Verringerung des Stromverbrauchs im 

15 Batteriebetrieb. Der Prozessor 120 kann die Detektionsschaltung 15a 
zurucksetzen. Dazu wird uber die Leitung 155 ein H-Rucksetzsignal auf 
einen Feld-Effekt-Transistor 1560 gegeben, welcher durchgeschaltet wird, 
Somit wird die Spannung am Abzweig 1546 uber die Referenzspannung 
angehoben, der Komparator 1550 schaltet zuruck und der Transistor 1552 

20 wird gesperrt. Als Komparator 1550 eignet sich der Typ ICL7665SAIBA. 

Die in der Figur 5b gezeigte Detektionsschaltung 15b weist einen 
Spannungsteiler zwischen einer Batteriespannung fuhrenden Leitung 156 
und Massepotential auf, wobei eine Parallelschaltung von Kondensator 

25 1573 und dem Widerstand der Leitungsschleife 152 zwischen Masse- 
potential und einem Abzweig 1547 des Spannungsteilers geschaltet ist. 
Zwischen den Abzweig 1547 des Spannungsteilers und der Leitung 156 
ist ein Widerstand 1545 geschaltet. Die Detektionsschaltung 15b dient der 
Leitungsschleifen-Uberwachung und reagiert auf eine Erhohung des 

30 Spannungspotentials am Abzweig 1547 uber einen zweiten Referenz- 
spannungswert. Eine solche Erhohung ist durch Verringerung der Isolation 
gegenuber dem Spannungpotential in der Leitungsschleife 151 nahe dem 
Abzweig 1547 Oder durch schleichende Hochohmigkeit, infolge einer 
fortschreitenden Veringerung des Leitungsquerschnitts bis zur Unter- 
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brechung der Leitungsschleife 152 verursacht. Am Abzweig 1547 ist der 
nichtinvertierende Eingang eines Komparators 1551 angeschlossen. Der 
invertierende Eingang des Komparators 1551 ist mit einer Referenz- 
spannungsquelle 1549 verbunden. Der Ausgang des Komparators 1551 

5 ist Qber einen Negator 1553, 1555 mit der Leitung 159 verbunden. Der 
zwischen dem Abgriff 1547 und Masse geschaltete Kondensator 1573 
verhindert Schwingungen. Die Spannung am Abgriff 1547 des Span- 
nungsteilers wird im Komparator 1551 mit der Referenzspannung der Re- 
ferenzspannungsquelle 1549 verglichen. Ist die zu vergleichende Span- 

10 nung am Abgriff 1547 kleiner als die Referenzspannung der Quelle 1549, 
so bleibt der Komparatorausgang auf L-Pegel geschaltet und der Feld- 
Effekt-Transistor 1553 des Negators ist gesperrt. Dadurch erhalt die Aus- 
gangsleitung 159 nun Betriebsspannungspotential und das Statussignal 
fuhrt logisch T. Wird jedoch das Spannungspotential am Abzweig 1547 

15 uber die Referenzspannung der Referenzspannungsquelle 1549 erhoht, 
dann schaltet der Komparator 1551 um. Der Komparatorausgang wird auf 
H-Pegel geschaltet und folglich ist der Feld-Effekt-Transistor 1553 durch- 
geschaltet. Dadurch wird dje Ausgangsleitung 159 mit Massepotential 
verbunden und das Statussignal fuhrt logisch '0. 

20 Es ist vorgesehen, daB die Mittel der Detektionsschaltung 15a von der 
Detektionsschaltung 15b mit benutzt werden, so dass eine separate 
Abfrageleitung, ein separates Schaltungsmittel zur Selbsthaltung und ein 
Schattmittel fur eine Rucksetzung der Selbsthaltung in der Detektions- 
schaltung 15b entfallt. Dazu ist die Ausgangsleitung 159 der Detektions- 

25 schaltung 15b mit der Ausgangsleitung 158 der Detektionsschaltung 15a 
verbunden. 

Die Oberwachungsschaltung 15b ist im Prinzip ahnlich der Schaltung der 
bereits aus dem EP 1 035 517 A2 bekannten Ungestecktsein- 
Detektionseinheit 13 aufgebaut, welche ebenda ausfuhrlicher beschrieben 
30 ist Die Oberwachungsschaltung 15b benotigt im Unterschied jedoch keine 
separaten Schaltungsmittel zur Selbsthaltung und deren Rucksetzung. 
Alternativ ist eine Schaltung einsetzbar, welche ein negiertes Ausgangs- 
signal liefert. Vorzugsweise kann dann ein Verbinden der Ausgangsleitun- 
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gen 158 und 159 mittels der in der Uberwachungsschaltung 12 vorge- 
sehenen wired-OR-Verknupfung vorgenommen werden. 
Als Ereignisdetektoren (Event Detectors), werden neben der Zerstorungs- 
Detektionseinheit 15 auch eine Ungestecktsein-Detektionseinheit 13 
5 eingesetzt, die in dem EP 1 035 517 A2 ausfuhrlicher beschrieben ist. Im 
Unterschied dazu erfolgt jedoch keine logische VerknOpfung mit Signalen 
einer der anderen Baugruppen bzw. Funktionseinheiten. 

Das Sicherheitsmodul, welches zum Einsatz in postalischen Geraten, 
10 insbesondere zum Einsatz in einer Frankiermaschine, bestimmt ist, wird 

als postalisches Sicherheitsmodul (Postal Security Device) Oder als 

sicheres Abrechnungsgerat (Security Accounting Device) bezeichnet. 

Jedoch kann das Sicherheitsmodul auch eine andere Bauform aufweisen, 

die es ermoglicht, daB es in unterschiedlichen Geraten arbeiten kann. 
15 Somit wird es ermoglicht, dass es beispielsweise auf die Hauptplatine 

eines Personalcomputers gesteckt werden kann, der als PC-Frankierer 

einen handelsublichen Drucker ansteuert 

Die Erfindung ist nicht auf die vorliegenden Ausfuhrungsform beschrankt, 
20 da offensichtlich weitere andere Anordnungen bzw. Ausfuhrungen der 
Erfindung entwickelt bzw. eingesetzt werden konnen, die - vom gleichen 
Grundgedanken der Erfindung ausgehend - von den anliegenden 
SchutzansprOchen umfaBt werden. 
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Schutzanspruche 

1 . Anordnung zum Schutz eines Sicherheitsmoduls, der mindestens einen 
Arbeitsspeicher (121), eine Spannungsuberwachungseinheit (12), eine 
5 Ungestecktsein-Detektionseinheit (13) und einen speziellen Schaltkreis 
(160) aufweist, der uber einen BUS mit dem Arbeitsspeicher (121) in 
kommunikativer Verbindung steht, wobei der speziellen Schaltkreis (160) 
mit einem I/O Interface zur Herstellung einer Kommunikationsverbindung 
mit dem Gerat ausgestattet ist, welches wShrend des Betriebes eine 

10 Systemspannung fur den Sicherheitsmodul bereitstellt, wobei letzterer von 
einer Langzeit-Batterie (134) auBerhalb seines Betriebes gespeist wird, 
wobei die vorgenannten Baugruppen ohne die Langzeit-Batterie (134) in 
einer Vergussmasse (105) eingeschlossen sind, in welche eine Membrane 
(153) mit einer ersten Leiterschleife eingebettet ist, dadurch gekenn- 

15 zeichnet, dass eine Losch-Hardware mit dem Arbeitsspeicher (121) 
verbunden ist, welche ausgestattet ist, sicherheitsrelevante Daten im 
Arbeitsspeicher (121) zu loschen und eine Datenabfrage uber den Bus zu 
unterbinden, wenn ein Loschsignal anliegt, dad die Membrane (153) eine 
zweite Leiterschleife (152) aufweist und dass die erste und zweite 

20 Leiterschleife (151, 152) unterschiedliche Potentiale fuhren und auf der 
Membrane (153) eng benachbart angeordnet sind, dass eine Zerstorungs- 
Detektionseinheit (15) eingangsseitig mit der ersten und zweiten Leiter- 
schleife (151, 152) gekoppelt und ausgangsseitig mit einem Ausgang der 
Spannungsuberwachungseinheit (12) uber eine logische ODER-Schaltung 

25 verknupft ist, urn auf einer gemeinsamen Steuerleitung (CL) das 
Ldschsignal for die Losch-Hardware bereitzustellen, wenn die 
Zerstorungs-Detektionseinheit (15) aufgrund mindestens eines verander- 
ten Potentials in einer der Leiterschleifen (151, 152) anspricht oder die 
Batteriespannung der Langzeit-Batterie (134) unter einen vorbestimmten 

30 Grenzwert absinkt. 
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2. Anordnung, nach Anspruch 1, dadurch gekennzeichnet, dass 
die Losch-Hardware einen elektronischen Umschalter (S) und eine Bus- 
Treibereinheit (127) aufweist, dass die Bus-Treibereinheit zwischen den 
Daten., Adress- und Steuerungs-BUS-Leitungen (126, 111, 119) und den 

5 Daten-, Adress- und Steuerungs-Pins des Arbeitsspeicher (121) geschal- 
tet ist und uber die gemeinsame Steuerleitung (CL) ansteuerbar ist, urn 
den BUS vom Arbeitsspeicher (121) zu entkoppeln, wenn die Spannungs- 
uberwachungseinheit (12) oder die Zerstorungs-Detektionseinheit (13) 
uber die gemeinsame Steuerleitung (CL) den elektronischen Umschalter 

10 (S) veranlassen, Loschspannung statt der Betriebsspannung an den VCC- 
Pin des Arbeitsspeichers (1 20) anzulegen. 

3. Anordnung, nach Anspruch 2, dadurch gekennzeichnet, dass 
15 Massepotential anstatt der Loschspannung an den Arbeitsspeicher (122) 

angelegt wird. 

4. Anordnung, nach Anspruch 2, dadurch gekennzeichnet, dass 
20 digitale Signale uber Treiberschaltkreise der Bus-Treibereinheit (127) 

gefuhrt werden, die uber Ausgange verfugen, die zur Entkopplung von 
BUS und Arbeitsspeicher (122) hochohmig geschaltet werden konnen. 

25 5. Anordnung, nach Anspruch 2, dadurch gekennzeichnet, dass 
Anzahl an Leiterschleifen (151, 152) zum Schutz des Sicherheitsmoduls 
angeordnet sind, dass die Zerstorungsdetektionseinheit (15) mit einer 
entsprechenden Anzahl an Detektionsschaltungen (15a, 15b) fur jede der 
unterschiedliche Potentiate fuhrenden Leiterschleifen (151, 152) ausge- 

30 stattet ist, wobei nur eine der Detektionsschaltungen (15a, 15b) mit einer 
fur alle wirksamen Selbsthalteschaltung ausgestattet ist und wobei die 
Ausgangsleitungen (158, 159) aller Detektionsschaltungen (15a, 15b) via 
wired-OR-Verbindung verbunden sind. 
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6. Anordnung, nach Anspnjch 5, dadurch gekennzeichnet, dass 
der Schaltzustand aller Detektionsschaltungen (15a, 15b) vom 
Mikroprozessor (120) abfragbar und dass die Selbsthalteschaltung 

5 rucksetzbar ausgebildet ist. 

7. Anordnung, nach Anspruch 2, dadurch gekennzeichnet, dass 
der elektronische Umschalter (S) Bestandteil der Spannungsuber- 

10 wachungseinheit (12) ist, deren von einer Selbsthalteschaltung gehaltener 
Schaltzustand vom Mikroprozessor (120) abfragbar und deren Selbst- 
halteschaltung rucksetzbar ausgebildet ist. 

is 8. Anordnung, nach den Anspruchen 2 und 7, dadurch gekenn- 
zeichnet, dass an Betriebsspannungspotential und Massepotental 
geschaltete Feld-Effekt-Transistoren (1252, 1253) den elektronischen 
Umschalter (S) bilden. 

20 

9. Anordnung, nach Anspruch 1 , dadurch gekennzeichnet, dass 
die logische ODER-Schaltung als wired-OR-Verbindung in der Span- 
nungsuberwachungseinheit (12) ausgebildet ist und die gemeinsame 
Steuerleitung (CL) bildet. 
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Fig. 5a 
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Fig. 5b 



